-
Junior Member
- Вес репутации
- 54
Rootkit меняет имя
Дети резвились "В Контакте", через некоторое время аккаунты были скомпрометированы, комп периодически отваливался от сети и один svhost стал постоянно ломиться в сеть. Чистка удалила много всякого добра, но в ядре остался модуль, который с каждой загрузкой меняет имя, и остался svhost который ломиться в сеть. Буду признателен за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Сделайте лог gmer.
P.S.: sp??.sys - это от эмулятора CD.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Итак, всё сделано, по ходу найдено ещё пару зловредов, логи в аттаче.
Однако некий процесс генерит svhost ,который ломится по адресу :
cds17-29.arn.llnw.net, иногда подставляет цифры.
Спасибо за оперативный ответ!
P.S. Вроде на сайте gmer критикуют, есть предпочтения? В чём?
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
DeleteFile('C:\WINDOWS\system32\vksaver.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 54
Огромное спасибо. После удаления vksaver всё встало на места - запросы на выход в сеть исчезли. Оказывается vksaver это приблуда которую устанавливает В КОНТАКТЕ для обмена файлами.
-
У нас спасибо не говорится, а нажимается
Всё-таки повторите сканирование и выложите лог virusinfo_syscheck.zip, как я Вас просил.
-
-
Junior Member
- Вес репутации
- 54
Ок - правила так правила!
Тем более появилась новая проблема - при загрузке появляется " сбой rundll32 tifo.nfo", удаляю эту фигню из winlogon'a - через несколько дней появляется снова, кто ее туда сует?
-
Похоже, что пока молчали - что-то новое подхватили...
- Отключите системное восстановление!!! Это ВАЖНО!
- Обновите базы AVZ!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Сделайте лог с помощью GMER.
gmer.log
- Все логи прикрепите в этой ветке.
-